反向外壳概述
反向外壳允许攻击者绕过防火墙和其他安全机制,打开目标系统的端口。
当攻击者利用目标系统上的代码执行漏洞时,他们将运行一个脚本,启动与命令和控制(C&C)服务器的反向shell会话。它使他们能够远程访问受感染的系统。攻击者可以运行他们想要的任何命令并从系统获取其输出。SRX 系列防火墙将在短时间内分析客户端和服务器之间的流量模式,以识别反向外壳会话。然后,它将执行配置的补救措施。
反转壳检测的优势
帮助您检测 shell 攻击并防止潜在的数据盗窃。
要访问“反向外壳”页面,请导航到 “监视反向外壳>”。
此页面提供作为反向外壳通信一部分的目标 IP 地址、目标端口、源 IP 地址和源端口的列表。参见 图 1。
图1:反转外壳
| 字段 | 定义 |
|---|---|
| 目标 IP | 攻击者的 C&C 服务器的 IP 地址。 |
| 目标端口 | 攻击者的 C&C 服务器的端口。 |
| 源 IP | 反向外壳会话中目标系统的 IP 地址。 |
| 源端口 | 攻击者用来尝试反向外壳通信的端口。 |
| 时间 戳 | 启动反向外壳会话的日期和时间。 |
| TCP 会话 ID | 分配给攻击者的 C&C 服务器的会话 ID。 |
| 威胁级别 | 基于分析的攻击者C&C服务器的威胁级别。 |
| 行动 | 对反向外壳会话执行的操作:允许或阻止。 |
| 传入数据包(#) | 到目标系统的传入数据包数。 |
| 平均尺寸 | 传入数据包的平均大小。 |
| 传出数据包(#) | 来自目标系统的传出数据包数。 |
| 平均尺寸 | 传出数据包的平均大小。 |
您可以选择目标 IP 地址并将其添加到允许列表中(如果它们不是恶意的)。要将目标 IP 地址添加到允许列表,请执行以下操作:
-
选择 “监视器”>“反向外壳”。
此时将显示“反向外壳”页面。
-
选择要添加到允许列表的目标 IP 地址,然后单击 添加到允许列表。
将出现一个弹出窗口,要求您确认选择。
-
单击 “是”。
所选目标 IP 地址将添加到允许列表中。
有关在 SRX 系列防火墙上配置反向外壳检测的信息,请参阅 《瞻博网络高级威胁防御管理员指南》。